Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

clusit

Perché il voto elettronico è un azzardo (secondo gli esperti di cyber crime)

di Luca Bechelli e Claudio Telmon, Clusit

01 Set 2017

1 settembre 2017

La tecnologia oggi non offre ancora soluzioni che soddisfino tutti i requisiti necessari per votazioni qualificate e certificate, a costi ragionevoli e introducendo i vantaggi di cui si sente spesso parlare, e che comunque il voto sarebbe mediate sempre da uno strumento sul quale il cittadino ha un controllo limitato

Lo scrittore statunitense Nicholas Carr sostiene che “worrying about what might go wrong may not be as glamorous a job as speculating about the future, but it is a more essential job right now”: questo è proprio quanto si proverà a fare nel seguito di questo articolo, parlando di voto elettronico.

Noi, gli autori, siamo appassionati di tecnologia, tanto da averne fatto un lavoro, e tra tutte le professioni legate alla tecnologia abbiamo scelto di occuparci di sicurezza delle informazioni. Per questo motivo, quando viene creato un nuovo servizio, o quando un processo “tradizionale” (manuale e/o basato su tecnologie che non fanno uso diInternet) viene digitalizzato, dobbiamo continuamente domandarci “quanto è sicura” questa trasformazione e “se ne vale la pena”. Molto spesso la risposta a queste domande deriva da una valutazione di rischio: se il rischio è tollerabile, anche in relazione ai vantaggi o alle misure di sicurezza che è possibile implementare, inizia il nostro lavoro: individuare le misure di sicurezza adeguate. Capita però che vi siano dei casi in cui il rischio sia eccessivo, oppure che le tecnologie atte a garantire la sicurezza necessaria non siano disponibili o troppo costose, rendendo quindi non percorribile la scelta di digitalizzazione. Senza troppi giri di parole, questo è il nostro orientamento sull’uso del voto elettronico nell’ambito di consultazioni elettorali e referendarie.

Innanzitutto, perché ne parliamo: non sfuggirà al lettore che negli ultimi mesi vi sono state diverse occasioni in cui la stampa e le forze politiche si sono confrontate su questioni relative ai sistemi di voto elettronico. In particolare, in riferimento alla scelta della Regione Lombardia di utilizzare una piattaforma di voto elettronico per il c.d. “Referendum Autonomia”, e per il caso delle violazioni alla piattaforma Rousseau del Movimento 5 Stelle. Diciamo subito che chi scrive non ha interesse di discutere nello specifico dei due casi; più precisamente, anche quando le posizioni di una o di un’altra parte potranno sembrare in accordo con il testo di questo articolo, si tenga conto che la dialettica nei due casi, più basata su posizioni politiche che tecniche, non ha a nostro parere affrontato in alcun modo i punti essenziali del tema del voto elettronico. Che è quello che ci accingiamo a fare.

Quello del voto elettronico è un argomento che può essere considerato sia “vecchio” che innovativo.

Di vecchio ha una lunghissima letteratura nell’ambito della Ricerca in Informatica, nella quale si sono cimentati a più riprese anche alcuni tra i maggiori esponenti del settore, in particolare della crittografia e della crittanalisi, tecnologie fondamentali per rendere possibile l’uso di votazioni on line. Ancora, sono di vecchia data le ricerche e le implementazioni di soluzioni per lo scrutinio elettronico o basate su automazione del voto o dello scrutinio presso i seggi.

È invece un tema innovativo per due aspetti fondamentali: il primo è che mai come oggi sembrerebbero disponibili a costi ragionevoli soluzioni di voto o scrutinio elettronico per governi, partiti, movimenti politici, sindacati o aziende.

Relativamente al secondo aspetto, il tema resta di frontiera in quanto nessuna delle soluzioni promosse dalla ricerca, o dal mercato, riescono ancora oggi a soddisfare tutte le proprietà di sicurezza che i sistemi di voto tradizionale offrono, pur con tutti i limiti che presentano.

Inoltre, ciò che è più grave è che pochi dei vantaggi che le soluzioni di voto elettronico dovrebbero offrire in più rispetto ai modelli di voto tradizionali, possono credibilmente essere raggiunte, tenendo conto della realtà attuale, anziché di modelli ideali!

Tra questi, l’unico che possiamo considerare con ragionevole certezza è la rapida disponibilità dei risultati alla chiusura dei seggi. Se questo, come spiegheremo, sarà l’unico vantaggio certo, viene da domandarsi quanto sia determinante (nell’ambito di un passaggio delicato come una votazione politica) il fatto di dover attendere alcune ore per conoscere i risultati.

Il secondo vantaggio tipicamente citato è la maggiore economicità del processo digitalizzato. Tale risparmio non può essere rilevante quando il sistema di voto elettronico prevede comunque l’uso dei seggi elettorali, come è stato possibile vedere in TV in alcune elezioni americane: ai costi già oggi previsti, infatti, andrebbero a sommarsi quelli dei sistemi elettronici di voto e di conteggio, quelli di connettività, nonché la manutenzione e l’aggiornamento delle piattaforme. In questi casi, il solo risparmio rilevante si avrebbe eventualmente sulla carta, per quelle soluzioni che prevedono il voto mediante touch screen. È difficile quindi che siano numeri che possano spostare il baricentro della scelta, quando addirittura non risulteranno superiori alle spese attuali.

In caso di voto on-line, al contrario, si potrebbero cogliere benefici economici notevoli, ma chi garantirebbe per la non coercibilità del voto? Ovvero, come si potrebbe garantire, in un paese in cui il voto di scambio e l’ingerenza in generale della criminalità organizzata nel processo democratico sono una preoccupazione continua, che i cittadini possano esprimere liberamente il proprio voto? Da questo punto di vista, la cabina elettorale costituisce ancora una garanzia fondamentale, seppure non assoluta. Più semplicemente, un modello di voto on-line non garantirebbe che il voto sia espresso dalla persona fisica a cui si riferiscono gli strumenti di autenticazione: ne è la dimostrazione il numero di smartcard di firma digitale dei professionisti e delle aziende che ancora oggi sono custodite dai commercialisti per le dichiarazioni on-line al fisco.

Questo argomento, in relazione al voto on-line, mette in crisi immediatamente gli ulteriori vantaggi tipicamente attribuiti ai sistemi di voto elettronico da remoto: il voto all’estero, l’accessibilità al voto per i disabili, la maggiore frequenza delle consultazioni a favore della democrazia diretta. Su quest’ultimo punto, ci permettiamo inoltre di aggiungere che il ricorrere ai meccanismi di democrazia diretta ci pare una scelta più di ordine politico che tecnologico. Se lo si volesse, e se tale scelta riscontrasse un ampio consenso da parte della popolazione, lo si potrebbe/dovrebbe fare a prescindere dagli strumenti di voto. Il rischio qui è anzi di far passare una scelta politica, condivisibile o meno che sia, come semplice “miglioramento” delle tecnologie di voto.

Ancora: i sostenitori del voto elettronico dichiarano che tali sistemi possono ridurre i brogli e gli errori. (Quasi) ogni volta che ciascuno di noi riceve un aggiornamento sul computer ottiene di fatto un insieme di rimedi ad un sacco di errori del software. A volte la portata di questi errori è tale che su di essi si basano attacchi che hanno come vittime milioni di computer, come dimostrano gli ultimi ransomware balzati agli onori delle cronache. La riduzione degli errori non è pertanto un “assioma” tecnologico, ma è un processo complesso che prevede un continuo miglioramento e dei rischi non trascurabili, soprattutto dal punto di vista della probabilità che qualcuno possa provare a sfruttare tali errori a proprio vantaggio.

Pertanto, anche laddove si possa dimostrare che molte casistiche di broglio “tradizionali” verrebbero ridotte, quali e quante nuove modalità di alterazione dei risultati sarebbero introdotte ex novo?

A tal proposito si ricorda che un sistema di voto elettronico dovrebbe garantire quanto meno l’anonimato del votante, assicurare che votino solo gli aventi di diritto (e solo una volta) – e questo implica anche che non vi siano voti derivanti da persone che si sono astenute -, la non alterazione dei voti e la verificabilità dei risultati da parte di tutti i partecipanti al voto (posso verificare che il mio voto sia stato computato e che sia stato correttamente interpretato). Tutte queste proprietà dovrebbero essere garantite contestualmente[1] da un sistema informatico che sarà gestito da un insieme di tecnici, gli unici che avranno la possibilità di verificare nel concreto la correttezza del suo funzionamento, senza violare le suddette proprietà. Si pensi solo alla questione dell’anonimato: chi ha un’infarinatura tecnica sa che in rete non si può essere del tutto anonimi, a meno che qualcuno non offra un servizio ad hoc, che dovrebbe essere certificato e verificabile: a chi affideremmo tale compito? Ad un provider? Sul mercato internazionale? A più attori? Portatori di quali interessi?

Allo stesso modo, a chi possono essere affidati i sistemi di voto elettronico, sapendo che chi ne ha accesso avrà la possibilità di intervenire fraudolentemente nelle operazioni di voto, di conteggio, nella gestione delle procedure atte a garantire l’anonimato dei votanti, etc…? Non dobbiamo illuderci: finché si tratta di piccole sperimentazioni occasionali, questi problemi possono non emergere, ma l’uso del voto elettronico in elezioni di un certo peso li porterebbe subito a galla. Un esempio banale: la ditta appaltante che svilupperebbe o fornirebbe i sistemi e servizi informatici a supporto del voto elettronico sarebbe scelta dal governo uscente, e i requisiti tecnici sarebbero contenuti in decreti e leggi ordinarie, facilmente modificabili dalla maggioranza uscente.

Ciò è ben diverso da quanto accade oggi con i sistemi di voto tradizionali: chiunque può comprendere il processo di voto, partecipare al processo di conteggio, discutere e denunciare eventuali anomalie. Il sistema, come oggi è congeniato, non è privo di falle ma è alla portata dei comuni cittadini. Chi effettua brogli, lo fa a suo pericolo su una dimensione fisica, e le tecniche di frode richiedono in generale di intervenire su ogni singolo voto, con portata comunque limitata sul risultato elettorale e con rischi ingenti.

Se diamo tutto in mano ad una macchina, ed ai suoi gestori, entriamo inevitabilmente in uno scenario tecnocratico, facilmente illusi dell’imparzialità di una macchina che però è governata da un numero ristretto di persone che vi hanno accesso, e da un minore numero, tra queste, che ne comprendono realmente il funzionamento. A questo si aggiunga che una completa informatizzazione, che va di pari passo con la concentrazione su pochi sistemi dei meccanismi di voto, verifica e spoglio dei risultati, è esposta anche ad attacchi che, con poche azioni, possono modificare completamente un risultato elettorale.

In sintesi, e senza scivolare in diatribe utopistico-tecnologiche, ciò che dobbiamo tenere conto parlando di voto elettronico è che la tecnologia oggi non offre ancora soluzioni che soddisfino tutti i requisiti necessari per votazioni qualificate e certificate, a costi ragionevoli e introducendo i vantaggi di cui si sente spesso parlare, e che comunque il voto sarebbe mediate sempre da uno strumento sul quale il cittadino ha un controllo limitato. Deve infatti essere sempre considerato un difficile equilibrio: se il cittadino controlla lo strumento con cui vota (es. il proprio smartphone), è più facile che sia soggetto a pressioni per manometterlo e per votare in modo “controllato”, a prescindere a quel punto dal fatto che lo usi da casa o nella cabina elettorale. Se invece lo strumento gli viene fornito, allora le garanzie che chi ha scelto e gestisce il sistema di voto ne curi la sicurezza o non commetta lui stesso delle frodi sono molto limitate.

Con questo non si vuole assolutamente sostenere che il voto elettronico non sia un ambito di sviluppo interessante già oggi per molte applicazioni di natura verticale, ed in futuro forse anche per votazioni di tipo politico. Non vi è infatti alcun motivo per non guardare con interesse a queste tecnologie, nel giusto contesto: una comunità chiusa, un’azienda, un’associazione, un sindacato forse, possono già oggi rivolgersi alle soluzioni del mercato se, nel contesto limitato di attuazione, i vantaggi superino i possibili rischi, anche tenendo conto delle probabilità (in questi casi generalmente limitate) che un soggetto anche terzo interferisca in modo determinante alterando fraudolentemente i risultati.

Il processo democratico di una nazione è però una cosa ben più delicata. I rischi sono decisamente troppo elevati in assenza di strumenti all’altezza, e questi strumenti non sono ancora disponibili.

Resta poi vero che difficilmente la risposta definitiva potrà arrivare dalla ricerca: il processo di voto è uno di quei processi che non si presta una pura trasposizione digitale (come conferma il problema della non coercibilità del voto), ovvero non è un tema squisitamente tecnico. Così come non può essere tecnica la risposta ai problemi di partecipazione dei cittadini al processo democratico: difficilmente rendere più “cool” il sistema di voto sposterà le “maggioranze silenziose” dall’astensionismo. Anche questo è un problema che, purtroppo, il voto elettronico non potrà risolvere.

 

 

[1] In letteratura sono presenti diversi modelli e protocolli per il voto elettronico. Se da un lato tutti concordano sulle proprietà che dovrebbero essere garantite, e alcuni modelli cominciano a soddisfare buona parte delle proprietà, ci si scontra comunque sempre con il problema dell’implementazione e della verifica dei modelli. Si tratta comunque di un approccio molto diverso da quello diffuso attualmente dove è in uso il voto elettronico, in cui la correttezza del voto è affidata solo a misure di sicurezza tradizionali dei sistemi.

Articoli correlati